Υ.Α.Π. - Υπηρεσία Ανάπτυξης Πληροφορικής

Greek Dutch English French Italian Russian Spanish

Θεσμικό πλαίσιο για τα ψηφιακά πιστοποιητικά

Σύμφωνα με την κύρωση με ΚΥΑ από τα Υπουργεία Εσωτερικών, Αποκέντρωσης και Ηλεκτρονικής Διακυβέρνησης και Υποδομών, Μεταφορών και Δικτύων του Κανονισμού Πιστοποίησης (ΦΕΚ 799/Γ’/09-06-2010) καθορίζονται οι διαδικασίες για την παροχή υπηρεσιών πιστοποίησης από την Αρχή Πιστοποίησης του Ελληνικού Δημοσίου (ΑΠΕΔ). Επίσης, με την Υπουργική απόφαση ΥΑΠ/Φ.60/76/984 (ΦΕΚ 1162/B'/2012) καθορίζονται οι Οργανικές Μονάδες για την Παροχή Υπηρεσιών Πιστοποίησης της ΑΠΕΔ. Για την έκδοση των ψηφιακών πιστοποιητικών ο τελικός χρήστης θα πρέπει να επισκεφθεί το αρμόδιο εντεταλμένο γραφείο και να ακολουθηθούν οι σχετικές διαδικασίες, όπως προβλέπεται από τον Καθορισμό των διαδικασιών υποβολής αιτήσεων έκδοσης, ανάκλησης, ανανέωσης ψηφιακών πιστοποιητικών  καθώς και ανάκτησης του  ψηφιακού πιστοποιητικού ρυπτογράφησης μέσω των ΚΕΠ (Κέντρων Εξυπηρέτησης Πολιτών), ως Εντεταλμένων Γραφείων ΦΕΚ ΥΑΠ Φ.60/86/1435 (ΦΕΚ 1876/Β'/13.06.2012), σε συνέχεια της σχετικής αντίστοιχης πιστοποιημένης διαδικασίας ΦΕΚ 813/Β'/2007 έκδοσης και ανάκληση πιστοποιητικών μέσω των Οργανικών Μονάδων της ΑΠΕΔ (παράδειγμα, μέσω των ΚΕΠ).

Ο Κανονισμός Πιστοποίησης της Αρχής Πιστοποίησης του Ελληνικού Δημοσίου (ΑΠΕΔ) τροποποιήθηκε με την απόφαση υπ. αριθμ. ΥΑΠ Φ.60/3431 (ΦΕΚ 3320/Β/27.12.2013)
 
Ιδιαίτερη σημασία έχει η διαδικασία ψηφιοποίησης των ηλεκτρονικών εγγράφων και το ηλεκτρονικό αρχείο (ΦΕΚ 44/Α'/25.02.2014), σύμφωνα και με το ΠΔ 155/2014.
Τα ψηφιακά πιστοποιητικά είναι αυστηρώς προσωπικά και ενδεικτικά μπορούν να χρησιμοποιηθούν:

1. Για την ασφαλή ανταλλαγή εγγράφων και ηλεκτρονικού ταχυδρομείου
2. Για την υπογραφή και κρυπτογράφηση ηλεκτρονικών αρχείων
3. Για τον ασφαλή προσδιορισμό της ηλεκτρονικής ταυτότητας
4. Για τον έλεγχο πρόσβασης σε κατάλληλες εφαρμογές

Τα ψηφιακά πιστοποιητικά που λαμβάνει ο κάθε χρήστης με την αίτηση του είναι τα παρακάτω:

1. Ψηφιακό Πιστοποιητικό Κρυπτογράφησης. Το πιστοποιητικό αυτό προορίζεται για χρήση σε εφαρμογές κρυπτογράφησης.
2. Ψηφιακό πιστοποιητικό Υπογραφής - Αυθεντικοποίησης. Προορίζεται για εφαρμογές ψηφιακής υπογραφής ηλεκτρονικών εγγράφων και για την επιβεβαίωση της ταυτότητας του χρήστη κατά την ηλεκτρονική πρόσβαση του σε ελεγχόμενα σημεία (client authentication). Το πιστοποιητικό αυτό αποτελεί «Αναγνωρισμένο Πιστοποιητικό» σύμφωνα με την Οδηγία 99/93/ΕΚ και το Προεδρικό διάταγμα 150/2001.

Προηγμένη ηλεκτρονική υπογραφή είναι η ηλεκτρονική υπογραφή, που πληροί τους εξής όρους:

    α) συνδέεται μονοσήμαντα με τον υπογράφοντα,
    β) είναι ικανή να καθορίσει ειδικά και αποκλειστικά την ταυτότητα του υπογράφοντος,
    γ) δημιουργείται με μέσα τα οποία ο υπογράφων μπορεί να διατηρήσει υπό τον αποκλειστικό του έλεγχο και
  δ) συνδέεται με τα δεδομένα στα οποία αναφέρεται κατά τρόπο τέτοιο ώστε να μπορεί να εντοπισθεί οποιαδήποτε μεταγενέστερη αλλοίωση των εν λόγω δεδομένων.
Με βάση το ισχύον νομοθετικό πλαίσιο στην Ευρωπαϊκή Ένωση και την Ελλάδα αναγνωρίζονται οι ακόλουθες κατηγορίες ηλεκτρονικών υπογραφών:

Κατηγορία 1: Ηλεκτρονική Υπογραφή

Κατηγορία 2
: Προηγμένη Ηλεκτρονική Υπογραφή

Κατηγορία 3
: Προηγμένη Ηλεκτρονική Υπογραφή με χρήση Αναγνωρισμένων Πιστοποιητικών η οποία δημιουργείται από ασφαλή διάταξη δημιουργίας υπογραφής. Η υπογραφή αυτή πέραν των χαρακτηριστικών της προηγούμενης κατηγορίας θα πρέπει επιπλέον να:
     • Δημιουργείται με χρήση Αναγνωρισμένου Πιστοποιητικού όπως αυτό ορίζεται στo ΠΔ150/2001
     • Δημιουργείται με χρήση ειδικού κρυπτογραφικού υλικού ΑΔΔΥ (Ασφαλή Διάταξη Δημιουργίας Υπογραφής - τύπου έξυπνης κάρτας ή usb token) εντός της οποίας διατηρείται και το ιδιωτικό κλειδί του κατόχου του πιστοποιητικού.
Με βάση την ισχύουσα νομοθεσία η ηλεκτρονική υπογραφή μπορεί να επέχει θέση ιδιόχειρης υπογραφής όταν πρόκειται για υπογραφή κατηγορίας. Κατά συνέπεια, τόσο για τον Δημόσιο όσο και για τον Ιδιωτικό τομέα, προκειμένου να είναι δυνατό, οι ηλεκτρονικές υπογραφές να έχουν νομική βάση θα πρέπει:

Οι χρήστες να κατέχουν Αναγνωρισμένα Πιστοποιητικά από ένα Πάροχο Πιστοποίησης διαπιστευμένο για την έκδοσή τους

    α) Το ζεύγος κλειδιών και το Πιστοποιητικό να είναι αποθηκευμένα σε μια ΑΔΔΥ (εφοδιασμένη με κατάλληλο κρυπτοεπεξεργαστή)
    β) Η δημιουργία υπογραφής να γίνεται μόνο με χρήση της ΑΔΔΥ.

Η νομική και αποδεικτική ισχύ των ηλεκτρονικών εγγράφων καθορίζονται από το Νόμο για την ηλεκτρονική διακυβέρνηση (Ν.3979/2011), όπως επίσης και θέματα με τα αντίγραφα εγγράφων που παράγονται με ΤΠΕ, ο τρόπος με τον οποίο κοινοποιούνται τα έγγραφα μεταξύ φορέων του δημοσίου τομέα και φυσικών προσώπων ή Ν.Π.Ι.Δ., καθώς επίσης και σε ποιες περιπτώσεις προβλέπεται η χρήση απλής ηλεκτρονικής υπογραφής. Επιπρόσθετα, η προηγμένη ηλεκτρονική υπογραφή δύναται να χρησιμοποιηθεί για την εγγραφή ενός φυσικού προσώπου σε υπηρεσίες ηλεκτρονικής διακυβέρνησης για την υποβολή των στοιχείων που αποδεικνύουν την ταυτότητα του.
 
Η ΑΠΕΔ (Αρχή Πιστοποίησης Ελληνικού Δημοσίου) δύναται να εκδίδει ψηφιακά πιστοποιητικά είτε χαλαρής αποθήκευσης (αποθηκεύονται στον υπολογιστή) είτε σκληρής αποθήκευσης (αποθηκεύονται στην ΑΔΔΥ). Ο χρήστης πέραν των δύο προαναφερθέντων πιστοποιητικών μπορεί να λαμβάνει μελλοντικά και ένα τομεακό, το προφίλ του οποίου θα εξαρτάται από τις υπηρεσίες που επιθυμεί να χρησιμοποιήσει. Έτσι, εάν η παροχή της συγκεκριμένης υπηρεσίας απαιτεί τη χρήση ενός πιστοποιητικού που θα περιέχει πέρα από τα βασικά πεδία του πιστοποιητικού αυθεντικοποίησης κάποια επιπλέον στοιχεία, π.χ. το ΑΦΜ, ο χρήστης θα αιτείται πιστοποιητικό με το συγκεκριμένο πεδίο. Επομένως, το τρίτο πιστοποιητικό που θα λαμβάνει, ενδέχεται να περιλαμβάνει ένα ή παραπάνω επιπλέον πεδία, στα οποία θα περιέχονται τα απαραίτητα αναγκαία αναγνωριστικά.

Τα Πιστοποιητικά δεν έχουν σχεδιαστεί, δεν αποσκοπούν και δεν είναι εγκεκριμένα να χρησιμοποιηθούν σε περιπτώσεις όπου απαιτείται τήρηση στοιχείων υψηλής διαβάθμισης ή συνθηκών υψηλής ασφάλειας (όπως για παράδειγμα, εθνική άμυνα και ασφάλεια). Εξάλλου, απαγορεύεται η χρήση των Πιστοποιητικών για σκοπούς άλλους από εκείνους για τους οποίους αυστηρά εκδόθηκαν.